2019年,某跨国企业的远程会议系统在亚太地区频繁出现连接失败。工程师排查了信令服务器、媒体服务器、网络带宽,一切正常。最终发现,问题出在当地运营商部署的CGNAT(运营商级NAT)——近40%的用户无法建立直接的点对点连接,所有流量被迫通过TURN服务器中继,带宽成本飙升至预期的三倍。

这不是个例。每一次视频通话卡顿、每一次P2P下载停滞、每一次在线游戏无法加入房间,背后都站着一个沉默的"守门人":NAT(Network Address Translator,网络地址转换器)。它默默地重写每一个数据包的地址,让数十亿设备共享有限的IPv4地址,同时也无情地切断了端到端连接的可能。

NAT的本质:一个改变互联网架构的"补丁"

互联网最初的设计假设每个设备都有唯一的、全局可路由的IP地址。TCP/IP协议栈的所有机制——从三次握手到路由协议——都建立在这个假设之上。

1990年代初,互联网的商业化进程加速,IPv4地址的消耗速度远超预期。NAT作为一种"临时补救措施"被提出:允许私有网络使用保留地址段(如10.0.0.0/8、192.168.0.0/16),在出口处将私有地址转换为公网地址。一个公网IP可以为成百上千台设备提供互联网访问。

NAT解决了地址短缺问题,但打破了互联网的端到端原则。当两台位于不同私有网络的设备试图直接通信时,问题出现了:双方都不知道对方的公网地址,即使知道,NAT也会默认拒绝来自陌生来源的入站流量。

这导致了P2P应用的系统性困境。传统的客户端-服务器模型中,服务器位于公网,主动监听端口,客户端发起连接——NAT对此完全透明。但P2P场景中,双方都在NAT后面,谁都无法主动"打电话"给对方。

NAT的四种面孔:从友善到刁钻

并非所有NAT都同样难以穿越。根据映射规则和过滤规则的不同,NAT被分为四种类型,穿透难度逐级递增。

**Full Cone NAT(完全锥形)**是最友好的类型。当内部地址发起对外连接时,NAT创建一个固定的公网映射,任何外部主机都可以通过这个公网地址向内部主机发送数据。这几乎等同于"打了一个洞之后,任何人都可以通过这个洞进来"。

**Restricted Cone NAT(受限锥形)**增加了一层限制:只有内部主机曾经发送过数据的外部IP地址,才能通过映射发送数据进来。端口不受限,但IP受限。

**Port-Restricted Cone NAT(端口受限锥形)**进一步收紧:只有内部主机曾经发送过数据的外部IP和端口组合,才能发送数据进来。

**Symmetric NAT(对称型NAT)**是最严格的类型。对于每一个不同的目标地址,NAT都会创建不同的映射。这意味着:向服务器A发送数据得到的公网端口,与向服务器B发送数据得到的公网端口完全不同。当另一端尝试通过已知的公网地址连接时,由于目标地址不同,NAT会创建新的映射或直接拒绝。

RFC 4787引入了更精确的分类术语:Endpoint-Independent Mapping(EIM)Endpoint-Dependent Mapping(EDM)。前三种锥形NAT都属于EIM——无论发往哪个目标,相同的内部地址总是映射到相同的外部端口。对称NAT则是EDM——映射依赖于目标地址。

这个区分至关重要:EIM类型的NAT可以通过简单的"打洞"技术穿透,而EDM类型则需要更复杂的手段。

UDP Hole Punching:数学上的优雅

2005年,MIT的Bryan Ford等人发表了经典论文《Peer-to-Peer Communication Across Network Address Translators》,系统性地分析了"打洞"(Hole Punching)技术。

核心思想出奇地简单:如果双方都主动向对方发送数据包,两个NAT都会认为这是"出站会话",从而在各自的NAT上打开"洞"。

sequenceDiagram
    participant A as 客户端A<br/>私有: 10.0.0.1:4321
    participant NATA as NAT A<br/>公网: 155.99.25.11
    participant S as 服务器S<br/>公网IP
    participant NATB as NAT B<br/>公网: 138.76.29.7
    participant B as 客户端B<br/>私有: 10.1.1.3:4321
    
    A->>S: 注册请求(通过NAT A)
    Note over NATA: 创建映射<br/>10.0.0.1:4321 → 155.99.25.11:62000
    S->>A: 确认注册
    
    B->>S: 注册请求(通过NAT B)
    Note over NATB: 创建映射<br/>10.1.1.3:4321 → 138.76.29.7:31000
    S->>B: 确认注册
    
    A->>S: 请求与B连接
    S->>A: 返回B的地址<br/>138.76.29.7:31000
    S->>B: 返回A的地址<br/>155.99.25.11:62000
    
    A->>NATB: 发送到 138.76.29.7:31000
    Note over NATA: 新会话,创建新映射<br/>目标: B的公网地址
    Note over NATB: 来自陌生源,丢弃
    
    B->>NATA: 发送到 155.99.25.11:62000
    Note over NATB: 新会话,创建新映射
    Note over NATA: 来自B的响应,放行
    
    A->>B: 后续数据包
    B->>A: 后续数据包
    Note over A,B: 双向通信建立成功

Ford论文的实验数据给出了关键统计:UDP打洞的成功率约为82%,而TCP打洞的成功率约为64%。差异的原因在于TCP协议的复杂性——三次握手的时序要求、SYN队列的管理、以及操作系统对"同时打开"连接的支持程度。

STUN:发现你的"公网面孔"

STUN(Session Traversal Utilities for NAT)协议是NAT穿透的基石。RFC 5389定义的STUN协议核心功能非常简单:让客户端发现自己从公网视角看到的IP地址和端口。

客户端 → STUN服务器: "我是谁?"
STUN服务器 → 客户端: "你的公网地址是 203.0.113.5:12345"

STUN服务器的价值在于:它位于公网,能够看到客户端经过NAT转换后的真实地址。客户端将这个地址告知通信对端,就打破了"不知道对方地址"的死锁。

但STUN有一个致命盲点:对于对称型NAT,STUN返回的地址只能用于与STUN服务器通信,不能用于与其他对端通信。因为对称NAT会为不同的目标创建不同的映射。

WebRTC默认使用Google提供的免费STUN服务器(stun:stun.l.google.com:19302)。这些服务器轻量、无状态、成本低——一个简单的STUN服务器每秒可以处理数万个请求,带宽消耗微乎其微。

对称NAT的困境:当每个目标都是新面孔

对称NAT是对穿透技术的最大挑战。当客户端向STUN服务器请求时获得的公网地址,与它向对端发送数据时使用的公网地址完全不同。

传统打洞技术在此失效:客户端A从STUN获得地址PA,告知客户端B。但B向PA发送数据时,A的NAT会创建一个完全不同的映射(因为目标地址不同),PA对应的洞根本不存在。

这就需要端口预测技术。研究发现,许多NAT设备在分配端口时遵循可预测的模式:顺序递增、固定步长、或基于内部端口的简单映射。如果客户端A能够预测自己向B发送数据时会获得什么端口,就可以提前告知B。

但端口预测的成功率有限。Tailscale的工程师指出,在端口预测最理想的场景下,两个对称NAT之间的穿透可能需要探测数万个端口组合。使用"生日悖论"优化后,可以在20秒内达到约0.01%的成功率——聊胜于无,但对于实时通信应用来说几乎不可用。

TURN:花钱买连接

当打洞失败时,唯一的选择是中继。TURN(Traversal Using Relays around NAT)协议定义了一种标准化的中继机制。

TURN的工作方式是:客户端与TURN服务器建立连接,获取一个"中继地址"。其他客户端向这个中继地址发送数据,TURN服务器将数据转发给原始客户端。从NAT的视角看,所有通信都是"出站"的——客户端主动连接TURN服务器,TURN服务器转发来自其他客户端的数据。

TURN是100%可靠的,但代价高昂。所有P2P流量都经过TURN服务器,意味着:

  1. 带宽成本:一个300人的视频会议,假设每人500kbps的视频流,如果36%的连接需要TURN中继(基于20%用户在严格NAT后的统计),总带宽需求达到15Gbps,200分钟的会议可能产生22.5TB流量。按云服务商$0.07/GB的流量费用计算,单次会议成本超过$1500。

  2. 延迟增加:数据包需要经过额外的跳数,增加往返时间。对于实时音视频,延迟超过150ms就会明显影响体验。

  3. 单点故障:TURN服务器成为瓶颈,需要高可用部署和负载均衡。

开源的coturn是最流行的TURN服务器实现,但许多企业选择商业TURN服务以避免运维复杂性。

ICE:统一框架的智慧

RFC 8445定义的ICE(Interactive Connectivity Establishment)协议是现代NAT穿透的集大成者。它不发明新技术,而是将各种技术整合到一个框架中:

候选收集(Candidate Gathering)

  • Host候选:本机的所有IP地址(包括IPv4和IPv6)
  • Server Reflexive候选(srflx):通过STUN获得的公网地址
  • Peer Reflexive候选(prflx):连接检查过程中发现的地址
  • Relay候选:TURN服务器分配的中继地址

优先级排序:Host > srflx > prflx > relay。直接连接优于打洞,打洞优于中继。

连接检查(Connectivity Check):使用STUN Binding Request测试每对候选地址之间的连通性。成功的检查会确认一条可用的路径。

冻结和提名:ICE会"冻结"一些候选对,优先检查高优先级的组合。一旦找到可用的路径,就"提名"它作为最终选择。

ICE的优雅在于它的渐进式fallback:先尝试最优路径,失败后自动降级到次优路径,直到找到可行的连接。对于应用开发者来说,配置一个ICE服务器列表(STUN + TURN)就完成了NAT穿透的全部工作。

生日悖论的数学魔法

当面对对称NAT时,直接的端口猜测效率极低。但数学提供了一个强大的工具:生日悖论。

生日悖论告诉我们:在23人的群体中,有50%的概率两人同一天生日。这不是魔法,而是组合数学的结果——我们比较的是任意两人的生日配对,而不是某人与固定日期的匹配。

应用到NAT穿透:如果一方打开256个端口(创建256个socket向对方发送数据),另一方随机探测端口。那么,在探测174个端口后,有50%的概率命中一个已打开的端口。

随机探测次数 成功概率
174 50%
256 64%
1024 98%
2048 99.9%

以每秒100个探测的速度,约2秒内就有50%的成功率。这比逐个尝试65535个端口快得多。

但如果两端都是对称NAT呢?问题变成在两个维度上同时碰撞——源端口和目标端口都需要匹配。计算表明,要达到99.9%的成功率,每端需要发送170,000个探测包。以每秒100个包的速度,这需要28分钟的等待时间。

对于实时应用,这是不可接受的。但对于某些P2P文件传输场景,“花半小时打通连接,然后高速传输文件"可能是合理的权衡。

CGNAT:IPv4耗尽的终局

随着IPv4地址完全耗尽,越来越多的运营商部署CGNAT(Carrier-Grade NAT)。用户的"公网IP"实际上是运营商内网的私有地址,经过两层NAT才能到达真正的互联网。

CGNAT带来了新的挑战:

端口数量限制:一个公网IP有65535个端口,但可能被成千上万用户共享。运营商通常限制每用户的并发连接数和端口范围,这可能导致"端口耗尽"错误。

入站连接完全不可能:即使在用户的路由器上配置端口转发,运营商层面的NAT仍然会阻止入站流量。没有运营商的配合,用户无法运行任何需要入站连接的服务。

追踪和溯源困难:由于多个用户共享一个公网IP,执法部门追踪特定用户变得更加困难。欧盟执法机构曾公开呼吁ISP放弃CGNAT。

影响范围扩大:传统NAT穿透技术对CGNAT仍然有效,但成功率下降。Tailscale报告称,在某些CGNAT环境下,直接穿透的成功率可能下降到60%以下。

检测CGNAT的方法之一是检查分配的IP地址。如果公网IP落在100.64.0.0/10范围内,说明处于CGNAT后面(这是RFC 6598为CGNAT保留的地址段)。但运营商也可能使用其他地址段,所以这不是100%可靠的检测方法。

IPv6的承诺与现实

IPv6理论上可以消除NAT:128位地址空间足以让每台设备都拥有全局唯一的IP地址。但现实更加复杂。

防火墙仍然存在:即使有全局IPv6地址,大多数网络仍然配置为默认阻止入站连接。IPv6防火墙的行为与NAT的过滤规则类似,打洞技术仍然有用。

双栈过渡期:IPv4和IPv6将在很长一段时间内共存。WebRTC等应用需要同时处理两种协议,增加了复杂性。

运营商惰性:尽管IPv6已经部署了二十多年,全球IPv6采用率仍然只有约40%。许多企业网络完全禁用IPv6,或配置不当。

NAT64/DNS64:在纯IPv6网络中访问IPv4-only服务需要NAT64网关,这又引入了NAT穿透问题。

Tailscale的实践表明,当两端都有IPv6地址且防火墙允许时,直接连接的成功率接近100%。但这是理想情况,不能作为工程设计的唯一依赖。

工程实践:从理论到生产

WebRTC的最佳实践

WebRTC内置了完整的NAT穿透支持,但仍需要正确配置:

const config = {
  iceServers: [
    { urls: 'stun:stun.l.google.com:19302' },
    {
      urls: 'turn:turn.example.com:3478',
      username: 'user',
      credential: 'pass'
    }
  ],
  iceCandidatePoolSize: 10
};
const pc = new RTCPeerConnection(config);

关键配置项:

  • iceCandidatePoolSize:预收集的候选数量,增加可以加快连接建立
  • iceTransportPolicy:‘all’使用所有候选,‘relay’强制仅使用TURN
  • bundlePolicy:控制音视频是否复用同一传输通道

TURN服务器的成本优化

  1. 地理分布:在多个地区部署TURN服务器,选择延迟最低的
  2. 按需分配:仅在打洞失败时才使用TURN,WebRTC默认行为
  3. 流量监控:识别异常高流量用户,可能存在配置问题
  4. 协议选择:TURN over TCP/TLS穿透能力更强,但开销更大

Tailscale的DERP创新

Tailscale没有使用TURN协议,而是设计了DERP(Detoured Encrypted Routing Protocol)。DERP的特点:

  • 运行在HTTPS之上,穿透能力更强
  • 端到端加密,中继服务器无法窥探内容
  • 同时作为信令通道和数据中继
  • 全球分布的DERP服务器网络

DERP的设计哲学是:承认中继不可避免,不如把它做好。Tailscale报告称,超过90%的连接可以通过打洞建立直接路径,剩余10%通过DERP中继。

技术的边界

NAT穿透不是万能的。某些场景下,无论使用什么技术都无法建立直接连接:

严格的企业防火墙:某些企业网络配置为只允许特定端口(如80、443)的出站流量,且进行深度包检测。这类环境下,即使TURN over TLS也可能被阻断。

无UDP的网络:某些网络完全禁用UDP(如某些企业Wi-Fi)。WebRTC提供了TCP fallback,但性能显著下降。

主动封锁:某些网络主动识别和封锁VPN/P2P流量。

面对这些极端情况,唯一的选择是使用WebSocket/WebTransport等基于HTTPS的协议,通过中心服务器中继所有流量——这实际上放弃了P2P的优势。

四十年博弈的启示

NAT穿透技术的发展史,是一部关于"补丁上打补丁"的历史。NAT本身是为了解决IPv4地址短缺而设计的临时方案,但它的存在催生了STUN/TURN/ICE等一整套协议体系。这些协议复杂、冗长、充满妥协,但它们让P2P应用在NAT无处不在的互联网上得以运行。

Tailscale工程师David Anderson的总结精辟:“NAT不增加安全性,它只是增加了复杂性。“真正的安全来自正确配置的防火墙,而不是依赖地址转换带来的模糊性。

IPv6的普及终将减少NAT的需求,但不会消除防火墙。端到端连接的梦想可能永远无法完全实现——因为网络运营商有合理的理由控制入站流量,企业有安全策略需要执行。

但技术的智慧在于:不是追求完美的解决方案,而是在约束条件下找到可行的方法。ICE协议的设计体现了这种智慧——不假设NAT的行为,而是测试所有可能性,选择第一个成功的路径。

对于开发者而言,NAT穿透是必须掌握的技术。对于系统设计者而言,理解NAT穿透的局限性有助于做出正确的架构决策:何时需要中心服务器,何时可以使用P2P,如何设计fallback机制。

四十年过去了,NAT穿透仍然是一个活跃的研究领域。新的协议(如QUIC的P2P扩展)正在发展,新的穿透技术(如基于WebTransport的方案)正在涌现。这场博弈还将继续——直到IPv4最终成为历史,或者互联网架构发生根本性变革。

参考资料

  1. Ford, B., Srisuresh, P., & Kegel, D. (2005). Peer-to-Peer Communication Across Network Address Translators. USENIX ATC.
  2. Rosenberg, J., et al. (2008). RFC 5389: Session Traversal Utilities for NAT (STUN). IETF.
  3. Mahy, R., Matthews, P., & Rosenberg, J. (2010). RFC 5766: Traversal Using Relays around NAT (TURN). IETF.
  4. Keranen, A., Holmberg, A., & Rosenberg, J. (2018). RFC 8445: Interactive Connectivity Establishment (ICE). IETF.
  5. Anderson, D. (2020). How NAT Traversal Works. Tailscale Blog.
  6. Anderson, D. (2022). How NAT Traversal Works: NAT Notes for Nerds. APNIC Blog.
  7. RFC 4787: NAT Behavioral Requirements for Unicast UDP. IETF.
  8. Guha, S., & Francis, P. (2005). Characterization and Measurement of TCP Traversal through NATs. USENIX IMC.
  9. Kucherawy, M. (2024). Implementing NAT Hole Punching with QUIC. arXiv:2408.01791.
  10. WebRTC API Documentation. MDN Web Docs.
  11. coturn Project. https://github.com/coturn/coturn
  12. libp2p Documentation. NAT Traversal and Hole Punching.
  13. Google STUN Servers. https://developers.google.com/talk/stun
  14. Tailscale DERP Documentation. https://tailscale.com/blog/derp-tls
  15. Wikipedia. Network address translation. https://en.wikipedia.org/wiki/Network_address_translation